「ネットワーク・セキュリティ」カテゴリーアーカイブ

FortiGate 90D(FortiOS 6.0)からFortiGate 50E(FortiOS 6.2)へのリプレース完了。

ども。こんにちは。

GWを満喫するため、FortiGateをリプレースしました。

DSC_0024

だいぶ前に購入していたFortiGate 50Eにリプレースしました。
2019年の年末にリプレースする予定だったのですが、仮想基盤を吹き飛ばしたりするトラブルがあって先延ばしにしていました・・・。

リプレース前:FortiGate 90D FortiOS v6.0.9 build0335 (GA)
リプレース後:FortiGate 50E FortiOS v6.2.3 build1066 (GA)

今回のポイントを簡単にご紹介します。

■Fortinet OneからFortiCloud(FortiGate Cloud)への変更/アカウント切り替え

購入時の状態は、とある代理店さんのアカウントでFortinet ONEとやらに登録されていました。おそらく多数の台数を展開するには便利なしくみなのでしょうがこのままと自前のFortiCloudのアカウントへログのアップロードなどができません。

アクティベーションの画面で「FortinetONE」ではなく、「FortiGate Cloud Multi-Tenancy」に変更します。

ことのとき「Email」にもともと入っていた代理店さんのメールアドレスが残ったままなので、一見入力できないように見えるのですが上書きすることができます。

これでアカウントの切り替えができます。
ただ、これをやっても、FortiCare Supportのところは代理店さんのメールアドレスのままです。

■NFGWモードをやめた

今回は、やめました。もしかしたら6.2で改善されているかもしれませんがトラウマなのです。Profile-basedにしました。

参考:FortiOS 5.6のNGFWとDNSフィルタの使えなさがやばい

NGFWモードをPolicy-basedからProfile-basedに変更したので、NAT設定の移し替えが多少面倒です。ポリシーベースだと、Central NATを使うことになりますが、Profile-basedにすると従来どおり各ポリシーでNATの有無を設定することになります。

■SD-WANを設定して2本の回線を収容

今回FortiGate 50Eには合計3本の回線が収容されました。

簡単ですがこんな感じです。(draw.ioで描きました。)

固定8IPアドレスが付与されるInterlink回線、通常の動的IPのPPPoE回線、IPoE回線(※)の3回線を2つのVDOMに収容し、Interlink回線とIPoE回線でSD-WAN(旧WANリンクロードバランス/WAN冗長化)を設定しています。
※MAP-Eを利用するため別途ルータを利用。
参考:OCNバーチャルコネクトでIPoE + IPv4 over IPv6接続 – 2 –

今までは、スマートフォンなどの帯域を多く消費する機器は、Poliicy Base Rouringで送信元IPアドレスをもとに、VDOMリンクに渡して出口を変えるということをしていましたが、随分スッキリしました。

VDOMを複数またぐこともなくなったので、パフォーマンスも向上したようです。

なお、今回は回線のバランシングはせず、原則IPoE回線とし、AWSへの接続など固定IPで制限をかけている宛先等について、SD-WAN Rulesで制御しています。

SD-WANの設定はこんな感じ。
IPoE回線のコストを低くして寄せています。

この設定だけでは片寄できないようです。
というのも、デフォルトのSD-WAN Rulesの設定で送信元IPアドレスベースでバランシングされてしまいます。

このため、以下の様なルールを設定しました。

このルールを作ってあげるとImplicitが効かなくなり、コストの低いIPoE側を常に利用するようになります。
もし個別でどちらかの回線だけを使いたい場合は、StrategyでManualを選択します。

たぶん。

■FortiClientが無償で収容できなくなった

FortiOS 6.0までは、10台分のFortiClinentのライセンスが付いていましたが、なくなってしまったようです。残念。

SB C&Sさんの技術ブログに詳細が記載してありました。

FortiClient 6.2 Update

テレメトリー機能も、AVも使えなくなってしまいました。。。

以下、C&Sさんのサイトからの引用です。

■ VPNクライアント機能
Win/MAC/iOS/Android共に無償で利用可能

【ATTENTION!】 FortiClient 6.2移行、VPNクライアントは独立しFortiClient VPNとなります。FortiClient 6.0からアップグレードは出来ないため新しくFortiClient VPNのインストールが必要です。(※FortiOS6.2.1ではFortiClient 6.2でIP-sec/SSL-VPN接続することが可能です)

■ FortiClient向け アンチウイルス/Webフィルター機能
【ATTENTION!】 FortiClient 6.2以降有償利用となります。利用する場合にはFortiClient Security Fabric Agentライセンスが必須です。

■FortiClient Telemetry機能
【ATTENTION!】 無償利用可能な10ライセンスが廃止。FortiClient 6.2以降は全て有償利用となります。FortiClient Telemetry機能にはFortigateとFortiClientとが連携し動作する機能が該当します。OS6.0までFortiClient Telemetryのライセンスを購入していなくても(一応)使えていた「Security Fabricの脆弱性端末の可視化」や「エンドポイントの隔離機能」などは今後FortiClient Security Fabric AgentライセンスをFortiGateに適用した段階で利用することが可能となります。FortiClient 6.0にてFortiClient Telemetryライセンスをお持ちの場合、FortiClient 6.2では別ライセンス(FortiClient Security Fabric Agentライセンス)の再購入が必要になります。

■FortiOS 6.2に関する諸々

FortiOS 6.2 メモ(随時更新したい・・・)に追記したいと思いますが気づいた点はこんなところです。

NGFW ModeはProfile-basedでの確認です。

  • ポリシーごとにInspection ModeでFlow-based/Proxy-basedが選べるようになっており、VDOMごとのInspection Modeがなくなった。
  • アンチウイルス(Anti Virus)のScan ModeがなくなってFull/Quickがなくなったぽい。
    cliではset scan mode legacyが用意されている
    それぞれのモードの違いっぽいのが以下のドキュメントに記載があったけど、これであってるのかな?

    Inspection mode differences for antivirus

  • 5.6あたり?から見当たらんくなってたプロトコルオプション(Protocol Option)が復活。
  • 何故かデフォルトのCertificate-inspectionで、FULL SSL inspectionになる動きがあった。たまたま・・・か?
    しょうがないので自分でプロファイルを作った。
  • Virtual IPでインターネットから公開するNATをした場合の内部発通信について、VIPと同じインターフェースから出すにはSD-WAN Rulesに設定が必要。これをしないと、SD-WANのほうが勝ってしまい、VIPのDNATと自発の通信でグローバルIPアドレスがずれてしまう。

■配線が汚い

毎度毎度思いますが、相変わらず汚いですね。

ではでは。またの機会に。

OCNバーチャルコネクトでIPoE + IPv4 over IPv6接続 – 2 –

ども。こんばんは。

OCNバーチャルコネクトの続きです。

【関連記事】

BUFFALO WiFi 無線LAN ルーター WSR-1166DHPL/Nを購入して無事接続はできたのですが、ルータ上のパケットカウンタで1万数千パケットを超えたあたりから、パケット送信ができなくなる問題にあたっていました。

WSR-1166DHPLの「ステータス>システム」を見ると状態は「通信中」となっているものの、通信パケットのカウンタは「送信パケット数」のエラーが上昇します。WSR-1166DHPLを再起動するか、IPv6画面で設定変更してMAP-Eを再接続することで復旧するという感じで、通信量が一定を超えるとだめ?ぽいです。
どうも新規セッションが張れないんですよねー。ポートが涸渇したわけではなさそう。謎です。

バッファローさんのサポートにも問合せし、パケットキャプチャを送ったりして一緒に調査していたのですが、原因不明で行き詰まっていました。

一応今後の対応として、バッファローさんからデバッグ用ファームウェアの入った専用のWSR-1166DHPLとパケットキャプチャ用機材一式を貸してもらい継続調査する予定ですが、新型コロナウイルスの影響により滞っています。。。

で、流石に1日1回くらいMAP-Eのつなぎ直しをしないと行けないのもストレスなので、買ってみました。

NECプラットフォームズのAterm WG1200HS3(PA-WG1200HS3)です。ファームウェアVer.1.2.1以降でOCNバーチャルコネクトに対応しています。

2018年10月頃発売の割に人気なのか在庫がほとんどなく、Amazonでは相場の倍近い値段で売られていたりと、諦めていたのですが、ヤフーショッピングでなんとか手頃な値段のものが見つかったので購入しました。¥5,380なり。

「ドコモ光ルーター」やOCN v6アルファのレンタル用ルータである「IPoE対応ルーター 01」がWG1200HS3のOEMらしいという話なので、問題なく動いてくれることを信じています・・・。

まぁ特段ハマることもなく?設定できました。

が、設定が全体的に簡素すぎじゃね?

静的ルーティング(スタティックルート/static route)が設定できない\(^o^)/
バッファローでもできるのに・・・。
ログも見れないし、パケットカウンタも見れないし・・・。
NTPとかも見当たらないぞ・・・・。

まぁとりあえず繋がりました。

このまま数日様子見ですね。

今度はうまく行ってほしい・・・・。

■おまけ
昔はNECのルータが好きでよく使ってました。WarpStarって言ってた頃・・・。
Telnetでつなげたんですけどねー。いまはないのかな。
※aterm-maintenance-110/Aterm-Maintenance-119でTELNETログインできてた気がします。

恐ろしく古い記事があったのでおまけです。

配線がやばい。
いろいろ。

ではでは。またの機会に。

OCNバーチャルコネクトでIPoE + IPv4 over IPv6接続

2020/04/25追記

バッファローのルータでは通信に不具合がありにっちもさっちもいかないので、ルータ買い替えました\(^o^)/

OCNバーチャルコネクトでIPoE + IPv4 over IPv6接続 – 2 –


 

ども。こんばんは。

混雑時間帯のフレッツが激遅になるので、IPoE + IPv4 over IPv6でフレッツ網を迂回してヒャッハーしようという話です。

前回の記事はこちら:
いつからIPoEはIPv4トンネリングももれなく対応していると勘違いしていた?

結論、できました。

どうやら、OCNのOCN v6アルファは、OCNバーチャルコネクトと全く同じ方式(MAP-E)らしいという情報があり、対応ルータをかってみました。

対応ルータについては以下のサイトが参考になります。
※ちなみにホームゲートウェイであるPR-500KIも対応はしているようですが、フレッツ・ジョイントとやらからソフトウェアをホームゲートウェイに突っ込まないとだめ?らしいです。

無線LANルーターの「OCNバーチャルコネクト」対応状況(2020年3月)

本当は、OCN v6アルファ契約時にレンタルされるものとほぼ同等と製品思われる、NECプラットフォームズのAterm WG1200HS3がほしかったのですが、在庫が少なかったり、値段が高かったりといい感じにてにはいりませんでした。

参考:NEC製市販ルータ、ついに【OCNバーチャルコネクト】対応!

参考2:OCNのIPoE、自社設備への完全移行か

なので、今回は以下のルータを購入しました。

BUFFALO WiFi 無線LAN ルーター WSR-1166DHPL/N

Amazonのタイムセールで¥3,980で購入できました。

決めては、発売時からOCNバーチャルコネクト対応していることと、値段です。

今回購入したのは簡易パッケージのものらしく、かなり簡素です。けど、このくらいで十分な気がしますね。

さて、特に設定上困るポイントはないです。
OCNバーチャルコネクトを選んでぽちってやるくらいです。

すぐに繋がりました。

ちなみに、ホームゲートウェイ側では前回同様IPv6がちゃんと払い出されていますね。

で、きになる速度ですが、混雑しやすい21;00〜23:00の間に何度か図ってみました。

この差です。

・PPPoE

・OCNバーチャルコネクト

PPPoE側は有線かつマシンスペックもそこそこです。
それでも無線にあっさり抜かれるほどフレッツ網は詰まっているのですね。

約4000円で世界が変わるとは・・・。

なんやかんやインターリンク契約できなくてよかった。。。
OCN光にしたぶん月額もちょっと浮いたかな。

2020/03/14追記
—————————
どうやら4時間(もっと長いかも・・・)に一回くらい通信ができなくなる問題が発生しているようで、多分ホームゲートウェイのDHCPv6の払い出しに関連してると思われます。

なので、WSR-1166DHPLのIPv6設定をNDプロキシモードに変更しました。

これでホームゲートウェイ上ではDHCPv6払い出し状況には出てこなくなるけど、通信もできるし4時間超えてもちゃんと繋がるぽいです。
—————————
2020/03/13追記その2
上記ルータの変更をしてもまた切れました・・・。
インターリンクの以下のページが参考になりそうだったので、
・ホームゲートウェイ(ONU一体型ルーター)を利用している方
の設定をしてみました。
※「バッファロールーターを利用している方」はすでに実施ずみ。

これで収まるといいけど・・・。

https://faq.interlink.or.jp/faq2/View/wcDisplayContent.aspx?id=654
—————————
2020/03/14追記
上記ルータの変更をしてもまたまた切れました・・・。
最後に「IPv6ブリッジを使用する」にもしてみましたが、翌朝には切れてました。
きれるというか、通信できなくなります。エラーカウンタが上がっていく感じ。表示は「通信中」のまま。。
ルータ自身からのIPv6 Pingがホームゲートウェイまでは到達するものの、その先に行けない感じですねぇ。どこが悪いんだろうorz
—————————
2020/03/21追記
サポートに問合せたところ、原因は不明で、以下で改善するか試してほしいとのこと。
IPv6設定「インターネット@スタートを行う」を選択してすぐ右下の「IPv6ブリッジを許可する」のを外す。
改善せずorz
パケットキャプチャをとってみたところやっぱりWSR-1166DHPLから先にパケットが出ていない。ただIPv6は通ってるのでMAP-Eの問題かなぁ。
最後の手段でファームウェアを1.00にダウングレード(設定は全部やり直しorz)してみた。。これで改善しなかったらおとなしくNECのルータに買い替えかなぁ。

 

ではでは。またの機会に。

いつからIPoEはIPv4トンネリングももれなく対応していると勘違いしていた?

20021/08追記

FortiOS 7.0からOCNバーチャルコネクトにも対応しています。(7.0は残念ながら50Eには入りません。。。)

設定ガイド
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-ocn-ipoe-fixip.pdf?utm_source=social&utm_medium=twitter-org&utm_campaign=sprinklr

こちらの、対応端末リストにも60Fなどが追加されています。
https://www.ntt.com/content/dam/nttcom/hq/jp/business/services/network/internet-connect/ocn-business/option/v-access-ipoe/pdf/bocn_vc_router.pdf

 

2020/03/13追記
————————
結果、一台ルータを買いましたがうまくいきました。
詳細は以下の記事で。

ある種インターリンク契約しなくてよかったのでちょっと助かったかも。

OCNバーチャルコネクトでIPoE + IPv4 over IPv6接続
————————

ども。こんばんは。

いろんな勘違いが重なりました。

・混雑する時間帯のネットが遅い。2Mbpsとかに落ち込むし詰まってる感じがある
・DS-Liteでフレッツを迂回するのが良さそう
・フレッツv6オプションは無償で提供されているIPoEでやるのか
・OCNも対応しているな←勘違い
・でもうちはまだIPoEが対応してないっぽい←勘違い(※)
・OCN光ならIPoEが提供されている←せいかい
・OCN光に転用しよう!←まちがい
・OCNってDS-Liteじゃなくて OCN v6アルファとかいうサービスでMAP-Eだわ。しかも専用ルータ新型コロナウイルスの影響で出荷停止中だわ←げんじつ

※以下のページで見るとまだ準備中なのですが2019年3月にメールで開通したことが知らされていました。。。OCN光への申込時にカスタマーフロントの人に、OCN光に変わったらすぐにIPoE使えますか?と質問したところ、すでに使えますよ。。。とのことでした。
https://www.ntt.com/personal/services/internet/hikari/ipv6/ipoe/area.html

なんで、こんな勘違いをしたのでしょうかね。。

で、勘違いしたままFortiGateの設定をいじりまして、結論こんな感じでIPoEでIPv6接続はできました。

が、NTT東のゲートウェイにipv6-tunnel張っても全然パケットが帰ってこなくて発覚しました。。。

FortiGateの設定としては、こんな感じ。うちはひかり電話ありです。

今回は専用のvdom(ipv6)を切り出しています。

config system interface
    edit "ホームゲートウェイにつないだI/F"
        set vdom "ipv6"
        set type physical
        set snmp-index 17
        config ipv6
            set dhcp6-prefix-delegation enable
            set autoconf enable
        end
    next
end

これをやると、こんな感じでIPv6が降ってきます。

ftg (ipv6) # diagnose ipv6 address list

dev=xx devname=xxx flag=P scope=0 prefix=64 addr=2400:4050:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx

この時、ホームゲートウェイ(うちはPR-500KI)の「DHCPv6サーバ払い出し状況」を見ると、ちゃんと払い出されます。

ちなみにWAN側?というかNGN側?はひかり電話の場合は/56をもらってくるようです。そこからFortiGAteに/60で払い出してもらっています。(Prefex Delegation?なのかな。。。)

んで、DS Liteようにトンネルを作ります。

 

config system ipv6-tunnel
    edit "ds-lite"
        set source FortiGateのIPv6(オプションなので不要かも?) 
        set destination 2404:8e00::feed:101 ←100か101
        set interface "internal13"
    next
end

で、あとはここでつくったds-liteというインターフェースにipv4のデフォルトゲートウェイをstatic routeで設定し、さらにポリシーを書きます。NATは有効?にしておきました。

が、結局冒頭のとおりOCNはDS-Lite非対応なので、diagnose ipv6 ipv6-tunnel listで確認したところ、TX は増えるもののRXが増えません。

ちなみにこの状態でもIPv6での通信はできます。おいらがやりたいのはあくまでのこのIPv6網にIPv4をトンネルさせて混み合っているフレッツ網を迂回したいのです。。

ということで、インターリンクのzoot nativeに申し込みます。
これ、OCN解約してもいいのに、無駄に光コラボで逃げれなくなってしまった。まぁいいか・・・。

で、インターリンクのページからNTT東日本のお客IDとアクセスキーを入れてみたところ、以下のように出てしまいました。

入力いただいたフレッツ回線は、既に当社以外のIPoEサービスをご利用中のようです。

申込には他社のIPoE契約をご解約いただく必要があります。現在のご契約を確認してください。

まず、OCNのIPoEを解約しないと行けないようですが、やり方が分からいので、フレッツのサービス情報サイトからv6オプションを廃止しようとしてみても、

お客様のご利用の回線ではフレッツ・v6オプションを廃止できません。

と言われて先に進めません。

うーん。詰んだ。

一旦ここまで。

ではでは。またの機会に。

 

 

 

インターネット(IPv6 IPoE)に対応したプロバイダサービスをご利用の場合、インターネットがご利用いただけなくなります。

久々にフレッツネタ – サービス情報サイト(NGN IPv4)にFortiGateで接続する

ども。こんばんは。

別にFortiGateあんまり関係ないのですが・・・。

ちょっと最近混雑する時間帯のOCNの速度が全然出ないのでDS-Liteにでも手を出そうかなと思っていろいろ調べています。

ただ、OCNのIPoE方式は、我が家にはまだ対応していない模様。

OCN IPv6インターネット接続機能(IPoE) 今後の提供予定について

どうやら、「2017年7月24日以前にOCN 光をご利用開始したお客さま、2017年8月31日以前にOCN for ドコモ光をご利用開始したお客さま、2018年6月14日以前にOCN 光 with フレッツをご利用開始したお客さま」はまだ未対応らしい?です。

うーん。InterlinkのZOOT Nativeにでも契約してやろうかな。。。

さて、DS-LiteというかIPoE?を使ってVNEから出ていくためには、フレッツ・v6オプションとやらに申し込む必要があるらしい。

電話で申し込むと¥1,000かかるみたいですが、サービス情報サイト(旧称フレッツスクエア)からの申込みは無料らしい。
※ちなみにIPoEを申し込むときについでにv6オプションも申し込めるらしいです。

で、久々にサービス情報サイトでも覗いてみようかとつないでみます。

フレッツ 光ネクスト、フレッツ 光ライトプラス、フレッツ 光ライトご利用の方はNGNの方のIPv4かIPv6のサービス情報サイトにつなぐみたいですね。

なお、過去記事で引っ越し当時にはつないでいたみたいですが、SRXからFortiGateに変えたタイミングでなんか諦めていたっぽいです。理由は覚えてないですがつながっていないPPPoEインターフェースが残ってました。。

過去記事:NTT東日本フレッツ関連のメモ

とりあえずこれ見ればOKです。

ルーター等をご利用のお客さま

PPPoEを一本追加して、以下のページ記載のアドレス宛のルーティングをPPPoEに流します。
※本記事作成段階では、123.107.190.0/24と220.210.194.0/25。

https://flets.com/customer/next/square/faq/faq_routing.html

*.v4flets-east.jp関係の名前解決を以下のDNSサーバに向けます。
※本記事作成段階では、123.107.190.5と123.107.190.6

https://flets.com/customer/next/square/faq/faq_dns.html

うちの場合は内部のDNSサーバでゾーンを作ってFowardしています。こんな感じ。

        zone "v4flets-east.jp" {
                type forward;
                forward only;
                forwarders {
                        123.107.190.5;123.107.190.6;
                };
        };

ちなみに、これ設定したところ、以下のようなエラーがでて名前解決ができませんでした・・・

error (broken trust chain) resolving ‘www.v4flets-east.jp/A/IN’: 123.107.190.5#53

よくわからんので、DNSSECをまるっと無効にして逃げました。
DNSSEC一回ちゃんと勉強しよう・・・。

んで、まぁ結局アクセスできました。

久々にみたわー。

結果、v6オプションは申込済みでした。
よく覚えてないのですが、引越し前にNTT西日本で申し込んでたので、そのまま東でも申し込んでたのかなぁ。セッションプラスも契約してたみたい。
※セッションプラス申し込まないと同時2セッションなので、うちの場合サービスサイト用のPPPoEは接続できません。(すでにOCNとInterlinkにPPPoEを張っているため)

ではでは。またの機会に。

自分の尻拭いプロジェクト – 1 –

ども。こんばんは。

先日のオペミスで仮想マシンを全台虚空に返したわけですが、昨日(2019/12/30)午後〜夜まで時間をかけてなんとか復旧しました。

結局ほぼ元通りの構成で面白みはないですが、バージョンがだいぶ新しくなりました。

  • AD(Windows Server 2008 R2)
    • Windows Server 2012 R2をインストールして再構築。
      ※手持ちのライセンスが2012 R2しかないので・・・。
    • NPS(RADIUS)の構築までサクッとできた。
      • ちなみにAD DSはインストールしていたけど、証明機関のをインストールしておらずPEAPが使えなくてハマった。
        証明機関さえインストールすれば解決できる。
        (旧ADはIISの証明書とかも発行してたので証明機関入ってたみたい。)
    • MacBook Airは一旦Active Directoryのバインド解除して再度バインドした。無事AD上のコンピュータに表示されたし新しい証明書もインストールされているので多分大丈夫だと思う。。。プロファイルも消えなかった。
    • 過去もハマったけど、評価版にそのままライセンス入れようとして、「このエディションのWindowsのライセンス認証にそのキーは使えません。別のキーを試してください」とか言われたので以下のコマンドでキーを登録。

      DISM /online /Set-Edition:ServerDatacenter /ProductKey:xxxxx-xxxxx-xxxxx-xxxxx-xxxxx /AcceptEula

  • 大昔から動いているLinux(CentOS 5)
    • 正直作り直しは困難と判断・・・。DHCPの設定ファイルも抜き出したかったし。思い出はなかなか消せなかった。
    • あと、基本DNSがこいつで、ADもDNSはこいつを参照/更新している関係で意外と大事な役割になっている。
      (今回もADにはDNSサーバをインストールせずに作ってしまった・・・。)
    • Acronisで取得したバックアップ(tibファイル)から復元 
      • vSphere Converter Standaloneでは6.0までしかサードパーティのイメージ変換機能が実装されておらず、手元の5.0でtibをvmdkに変換・・・するも失敗。
      • しょうがないのでAcronis TrueImageのブータブルCDで頑張って復元。
      • vSphere 6.7だと、マウスが動かない。
        TABキーとかの操作だとどうもうまく行かず、マウス機能(F10とか押すとテンキーでカーソルが動かせる)で頑張った。(わざわざMacBook Airにキーボード取り付けて・・・)
      • 一部どうしても見えないボタンがあったのでTABキーとか駆使してなんとか復元。結局これが一番うまくいくなー。(数年前にも同じことした気がする。)
  • PBX
    • FreePBX STABLE SNG7-PBX-64bit-1910(FreePBX 15/Linux 7.6/Asterisk 16)で再構築。
    • アナウンス音声の日本語版が付属していて嬉しい。
    • ひかり電話とのトランク、Cisco IP Phone 7961のレジスト、内線、外線発信/着信までまさか数時間で終わるとは思わなかった。
    • 特にIP PhoneのConfigが旧FreePBXサーバのtftpbootフォルダにしかおいてないと思い込んでいたのでもう一度Config作成は絶望かと半分あきらめていましたが、過去の自分がうまく動いたときの一連のパケットキャプチャを保存してくれていたので、パケットキャプチャの中身からtftpでやりとしていたファイルを抽出して復元できました。まぁファイルとしておいておいてくれれば言うことないのですが、自分の所業なので諦めます。(どうせパケットおいておけば最悪どうにかなるだろうとか当時考えたんだろうな。)
    • FreePBXのバージョンもだいぶ変わっていたけどCisco側は設定修正なしでいけた。日本語化まで数時間でできた。
  • 監視サーバ
    • まだ未構築・・・。年明けかな。

以下、電話関連(FreePBX)のメモ。

環境、バージョンは以下の通り。

ハイパバイザー:VMware vSphere 6.7.0U3
イメージ:FreePBX STABLE SNG7-PBX-64bit-1910(CentOS 7.6ベース)
FreePBX :15
Asterisk:16

今回は全部WebUIだけで完結しましたが、以下ハマったポイントを書いておきます。

なおSIPドライバーはPJSIPです。

  • FreePBXのIPアドレス変更
    • /etc/sysconfig/network-scripts/ifcfg-eth0を編集。
      ※CentOS 7系だけどNetworkManagerは使ってないみたい。
  • tftpサーバの起動
    • /etc/xinetd.d/tftpを編集
    • disableをnoにしてservice xinetd restartする。
  • Fail2Banの解除
    • なんかGUIからできなくなった?ぽいのでコマンドで
      service fail2ban stop
      /var/log/fail2ban.logをけす
      service fail2ban start
  •  FreePBXのモジュール更新
    • 量が多すぎて一度にアップグレードができなかった。少しずつ更新する必要あり。
  • TCPのリッスン(Cisco IP Phoneのため)
    • Asterisk SIP設定で、chan_pjsipの設定を変えばいいが、Apply Configだけでは反映されず、osごと再起動が必要だった(Asteriskの再起動でも良かったかも)。
  • Outboundルール(外線発信)
    • 以前は「0X」だけでマッチした気がしますが、今回はそれだとルールにマッチせず11桁と10桁それぞれ登録しました。
  • ひかり電話にRegistできているのに、外線発信、着信両方FreePBXまでこない。
    • 正直ここが一番ハマりましたが、Asterisk SIP設定のGeneral SiP SettingsのNAT設定の外部アドレスを自分自身のIPアドレスにして、再起動したらうまくいきました。
      ※我が家はFreePBXからひかり電話HGWまでの間はNATはしていません。
      デフォルトでは、へんてこなIPアドレス(104.145.12.102)が1設定されており、実際のSIPパケット見ているとViaとかContactとかにそのIPがセットされていました。

以下、最低限のひかり電話発着信のためにいじったところ
(WebUIは日本語にしていたので項目が日本語のところがあります。)
※DID/CID制御とかはしていません。やりたい方はVoIP-Info.jp Wikiが大変参考になります。

  • ひかり電話HGW側
    • 内線設定
    • ダイジェスト認証なし
    • MACアドレスはうちの場合だとL3スイッチになる
      ※最初SVIのMACアドレスにしてたけど、よく考えたらNAT関わるわけじゃないから普通に出ていくところのインターフェースのMACアドレスを登録。
  • 接続
    •  トランク
      • General
        • トランク名:適当
        • アウトバウンドCID:自分の外線番号
        • 最大チャネル数:1(うちは1本の契約)
      • ダイヤル番号の操作ルール
        • 未設定
      • PJSIP設定
        • General
          • ユーザ名:0003(HGWの内線番号の頭に0を3つ)
          • Language Code:日本語
          • SIP Server:ひかり電話HGWIPアドレス
        • 高度な設定
          • DTMF Mode:バンド内
          • From Domain:ひかり電話HGWIPアドレス
          • From User:3(HGWの内線番号。0なし)
          • クライアントURI:sip:3@ひかり電話HGWIPアドレス
          • なんとなくパケットみてこんなリクエストになってれば行けるはず。

            REGISTER sip:ひかり電話HGWIPアドレス SIP/2.0
            From: <sip:3@ひかり電話HGWIPアドレス>;(略)
            To: <sip:3@ひかり電話HGWIPアドレス>

    • インバウンドルート
      • 単純に全部着信回すなら気にしなくていい。
      • 宛先をセット:自分で作った着信グループ
    • アウトバンドルート
      • ルートCID:意味ないらしいけど一応外線番号
      • 内線を上書き:はい
      • 一致したルートのトランクシーケンス:ひかり電話とのトランク
    • Dial Patterns
      • こんなかんじで。(これだと110とか119とか104とかは発信できませんのでご注意。うちは発信するつもりはないのであえて携帯と固定電話だけトランクに流すようにしています。)

あら、書いてみると意外と設定すくないですね。

あ、書いてないですが内線は普通に設定しています。
といっても番号とSecretくらしか設定してないですが・・・。

あと、我が家専用ですが、Cisco側がTCP/5061でSIPをしゃべるのでPJSIPがTCPで5061を待ち受けるようにしています。
※過去のFreePBXではchan_ipでしかTCPが設定できずいろいろ悩んでポート変えていたみたいです。

今日は家の掃除もしたし、なんとか新年が迎えられます。

皆様良いお年を。

ではでは。またの機会に。

 

FortiGate 50E購入

ども。こんばんは。

つい先日、60Dを4台ほど買ったばかりですが、、、やっぱりFortiOS 6.2を使いたいので、FortiGate 50Eを購入しました。

ヤフオクで¥12,000で購入(送料別)。

なんと、ライセンスが2022年11月まで残っている代物です。
これは安い。

とりあえず、FortiOS 5.4が入っていたのでガツンとFortiOS v6.2.2 build1010 (GA)までアップデートして一旦初期化(execute factoryreset)してIPアドレス振って、ハードウェアスイッチを吹き飛ばしてVDOMを設定しました。

50EはVDOM 5つまでなのね・・・。

90Dからどんなふうにリプレースしようかな。
SD-WAN機能とかいろいろ組み込みたいなぁ。

以下FortiGuardの画面。

ちょっと気になったのですが、FortiCareのところっていつも「Confidential」だったと思うんですが、今回は一次代理店さんのメールアドレスが入ってますね。

正直一次代理店で働いたことないのでここの仕組みはよくわかっていません。。。

 

以前購入した90D(というか今まで買ったFortiGateすべて)はこんな感じです。

年末年始リプレース楽しみだー!

ではでは。またの機会に。

 

またFortiGateを買ってしまった

ども。こんばんは。

また買ってしまいました。

FortiGate 60D x3とFortiWifi 60D x1のセットでなんと¥9,000なり。

残念ながら最新のFortiOS 6.2は入らないのですが、FortiWifiだけはライセンスも1年近く残っています。
※その他も2020年5月くらいまでは残っています。

小回りが効くので、ちょっとしたNAT用途とか、VPNの検証とかに使おうと思っています。

そして、自宅のメインであるFortiGate 90Dもライセンスが2020年6月でライセンス切れなのでFortiGate 50Eを入札中です。

業者感ある。

ちなみに今まで買ったFortiGateが何台あるか振り返ってみましたが、そんなに多くなかったです。11台くらいですね。

  • 2010年4月
  • 2014年5月
    • FortiGate 60B ¥6,000
    • これなにに使ってたっけ?記憶がない。記録もない。。。多分前の職場のラボ用に買ったやつかな。
  • 2014年6月
    • FortiGate 110C ¥22,300
    • 前の職場のでやった全顧客バージョンアップ祭りで検証用に買ったものだと思う。
  • 2014年9月
  • 2017年12月
  • 2019年12月
    • FortiGate 60Dx3+FortiWifi 60D ¥9,000

ちなみに、初めて購入したファイアウォールは2008年7月(新卒入社3ヶ月目とかそのくらい)のNetScreen 5GTですね。
当時¥20,500くらいで買ったみたい。
今考えるとめちゃくちゃ高いですけど、当時はそれでも現役の機器だったので安かった気がします。

その後、NetScree 204にリプレースしたり、前職のラボ用にSSG140を買ったり、PaloAlto 2050を買って速攻でラボ行きにしたり、SRX210が結構長く使ったかなぁ。最近はずっとFortiGateですね。

スイッチ、ルータ類だとProcurve 2台、Cisco 1812J、3750G、3750Xとか。

おまけにCisco IP Phoneとか買ってますね。

10年もやってるとそれなりに歴史が出てきた。。。かな。

ではでは、またの機会に。

JCB、LINE、Amazonを騙るフィッシングとAVアラート

ども。こんばんは。

手元に届いたフィッシングメールや面白そうなメールを気が向いたときに投稿するセキュリティねたのコーナーです。

今回もすべてYahoo!メールのスパムフィルタで迷惑メール判定されています。

■JCBを騙るフィッシング(2019/12/03)

Recieveヘッダ

Received: from 193.47.34.141 (EHLO alias28s190314.cloud.flynet.pro) (193.47.34.141)
by mta035.mail.bbt.yahoo.co.jp with SMTP; Tue, 03 Dec 2019 04:56:49 +0900
Received: from [112.48.9.111] (helo=xwyvebu)
by s190314.cloud.flynet.pro with esmtpsa

メール内容

From: MyJCB <mail@qa.jcb.co.jp>
To: xxxx <xxxx@yahoo.co.jp>
Subject: 【重要】お客様の【MyJCBカード】が第三者に利用される恐れがあります。
X-Mailer: Microsoft Outlook 16.0

===================================
本メールはJCBカードのご利用にあたっての、大切なご連絡事項です。
そのため、「JCBからのお知らせメール配信」を「希望しない」に
設定しているお客様へもお送りしています。
===================================

いつもJCBカードをご利用いただきありがとうございます。

弊社では、お客様に安心してカードをご利用いただくことを目的に、
第三者による不正使用を防止するモニタリングを行っています。

このたび、弊社の不正検知システムにおいて、現在、お客様がお持ちの
JCBカードのご利用内容について、第三者による不正使用の可能性を
検知しましたので、ご連絡を差しあげました。

お忙しいところ大変恐れ入りますが、下の【お問い合わせ窓口】まで、
なお、ご契約いただいているカードについては、第三者による不正使用の
可能性がございますので、カードのご利用を一時的に停止させていただいている、
もしくは今後停止させていただく場合がございます。

ご不便とご心配をおかけしまして誠に申し訳ございませんが、
何とぞご理解賜りたくお願い申しあげます。

至急、MYJCBサービスに修正情報を再登録してください

https:my.jcb.co.jp/Login&ibi=jp.co.jcb.my&isi=1097001344&apn=jp.co.jcb.my 

===================================
弊社におけるセキュリティー対策について

弊社では、カードの不正使用を未然に防ぐためにさまざまなセキュリティー
対策を実施しており、今回のご案内も未然防止策のひとつです。
詳細は弊社ホームページ:「安心してご利用いただくために」をご参照ください。

===================================

今後ともJCBカードをご愛用くださいますようお願い申しあげます。
■本件に関するお問い合わせ
│株式会社ジェーシービー
│JCBインフォメーションセンター
│東京 0422-76-1700
│大阪 06-6941-1700
│福岡 092-712-4450
│札幌 011-271-1411
|※9:00AM?5:00PM  年中無休
|※電話番号は、お間違いのないようおかけください。
|※一部の電話機で利用できない場合があります。

リンク先は以下の通りでした。

hxxps://www[.]mzthys-mycqsarcb[.]xyz/

■相変わらずよく届くAmazonを騙るフィッシング(2019/12/12)

Receiveヘッダ

Received: from 104.148.4.211 (EHLO mail02.46f97e45a4aadacc.xyz) (104.148.4.211)
by mta033.mail.bbt.yahoo.co.jp with SMTP; Thu, 12 Dec 2019 05:44:47 +0900
Received: by mail01.46f97e45a4aadacc.xyz id hu5ak60f27s4

メール内容

Sender:account-update@amazon.co.jp
From: Amazon.co.jp <account-update@amazon.co.jp>
To: xxx <xxx@yahoo.co.jp>
Subject: 【重要】Аmazon. co. jp にご登録のアカウント(名前、パスワード、その他個人情報)の確認

Аmazon お客様   xxx@yahoo.co.jp

Аmazon に登録いただいたお客様に、Аmazon アカウントの情報更新をお届けします。
残念ながら、Аmazon のアカウントを更新できませんでした。
今回は、カードが期限切れになってるか、請求先住所が変更されたなど、さまざまな理由でカードの情報を更新できませんでした。

アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため Аmazon アカウントの 情報を確認する必要があります。下からアカウントをログインし、情報を更新してください。
Аmazon ログイン

なお、24時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、アカウントの利用制限をさせていただきますので、予めご了承ください。

アカウントに登録のEメールアドレスにアクセスできない場合
お問い合わせ: Amazonカスタマーサービス。

お知らせ:パスワードは誰にも教えないでください。
個人情報と関係がなく、推測しにくいパスワードを作成してください。大文字と小文字、数字、および記号を必ず使用してください。
オンラインアカウントごとに、異なるパスワードを使用してください。

どうぞよろしくお願いいたします。
Аmazon

Аmazonですよ。AmazonじゃなくてАmazon。
AがА(キリル文字)になってます。

ログインアイコンのURLは以下の通りでした。

hxxps://www-amazon-co-jp[.]cbc737ce76d4ce7a94a5fc2e1951b9ba.buzz/?wuq7nxee8ifdvwys=uorfsjkb&tgnb05rv=xxx@yahoo.co.jp&zthd5mdyoyrezggr=oscjoj20191211xxx@yahoo.co.jp

 

■いっぱいきたLINEを騙るフィッシング(2019/12/03 ,12/01,11/30,11/29ほか)

Receiveヘッダ

Received: from 118.167.128.138 (EHLO kzvij.info) (118.167.128.138)
by mta092.mail.bbt.yahoo.co.jp with SMTP; Tue, 03 Dec 2019 09:26:29 +0900

メール内容

From: LINE <rnjcqsxa@kzvij.info>
To: xxx <xxx@yahoo.co.jp>
Subject: LINEにご登録のアカウント(名前、パスワード、その他個人情報)の確認 8:27:15
X-Mailer: Microsoft Outlook 16.0

お客様のLINEアカウントに異常ログインされたことがありました。お客様のアカウントの安全のために、ウェブページで検証してお願いします。

こちらのURLをクリックしてください。安全認証

hxxps://www[.]sdvagkysh[.]jp/gpoy/r9fth/for

この時、旧端末のLINEへ公式アカウント(LINE)から「他のスマートフォンであなたのアカウントが使用されようとしています」というメッセージが届きますが、もちろん自分で操作していることなので、そのまま手順を進めましょう。

※URLの安全認証有効期限は毎日8時から15時までです。

本文のURLがすでに怪しいのにリンク先はさらに怪しい。

hxxps://www[.]rhnkds[.]com/

掲載したメール以外の、本文のURLとリンクの組合わせは以下のようなものがありました。

hxxps://www[.]vsdvagkyshojn[.]com/gpoy/r9fth/forsde
→hxxps://www[.]roskco[.]com/

hxxps://www[.]cdvagkyshojn[.]com/gpoy/r9fth/forsd
→hxxps://www[.]tdwakuok[.]com/

hxxps://www[.]cdvagkyshojn[.]com/gpoy/r9fth/forsd
→hxxps://www[.]tdwakuok[.]com/

hxxps://www[.]gdvagkyshojn[.]com/gpoy/r9fth/forge
→hxxps://www[.]iowlpaw[.]com/

■こんにちは!さようなら!AVアラート(2019/11/18)

お前のとんでもない姿をカメラに収めたぞ的なやつ。

Receiveヘッダ

Received: from 77.65.69.134 (EHLO d69-134.icpnet.pl) (77.65.69.134)
by mta033.mail.bbt.yahoo.co.jp with SMTP; Mon, 18 Nov 2019 17:15:10 +0900

メール内容

From: <liqpubso@gaina.ne.jp>
To: <xxx@yahoo.co.jp>
Subject: AVアラート
X-Mailer: Microsoft Office Outlook 11
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17514

こんにちは!

私のニックネームはeziechiele29です。
私は半年以上前にこのメールボックスをハッキングしました (あなたはこの手紙をあなたから受け取った),
私が作成したウイルス(トロイの木馬)をあなたのオペレーティングシステムに感染させ、あなたを長い間監視してきました。

その後もパスワードを変更したとしても、それは問題ではありません。私のウイルスはあなたのコンピュータ上のすべてのキャッシングデータを傍受しました
私のために自動的にアクセスを保存しました。

私はすべてのあなたのアカウント、ソーシャルネットワーク、電子メール、ブラウジング履歴にアクセスできます。
したがって、私はすべてのあなたの連絡先、あなたのコンピュータからのファイル、写真、ビデオのデータを持っています。

私はあなたが時折訪れる親密なコンテンツサイトに最も襲われました。
あなたは非常に野生の想像力を持っている、私はあなたに言う!

あなたの喜びと娯楽の間、私はあなたのデバイスのカメラを通して、あなたが見ているものと同期してスクリーンショットを撮りました。
何てことだ! あなたはとても面白くて揺らめいています!

私はあなたの連絡先のすべてがこれらのスクリーンショットを取得するのを望まないと思いますよね?
もしあなたが同じ意見を持っていれば、私は805ドルが私が作った汚れを破壊するのにかなり公正な価格だと思います。

指定された金額を私のBTCウォレット(Bitcoin)に送ってください: 127eozs1DPZX4CtkPB3LrUAJ8RRvqUPJLd
上記の金額を受け取るとすぐに、私はデータが削除されることを保証します、私はそれを必要としません。

そうしないと、これらのファイルとサイト訪問の履歴があなたのデバイスからすべての連絡先に送信されます。
私はすべてのあなたの電子メールの対応を保存しました! これはあなたの連絡先にも送信されます!

あなたがそれを読むとすぐに – 私はそれについて知るでしょう!
あなたは50時間持っています!

私はあなたのことを覗き込む多くの仕事をしてきました! あなたはセキュリティを見ない!
実績のあるリソースだけに行き、どこにでもパスワードを入力しないでください!
さようなら!

 

ではでは。またの機会に。